Протокол IP : Технология NAT

Образец конфигурации с использованием команды ip nat outside source static

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (21 апреля 2016) | Отзыв


Содержание


Введение

В данном документе показан образец настройки с использованием команды ip nat outside source static, а также краткое описание того, что происходит с IP-пакетом во время процесса NAT. Рассмотрим в качестве примера топологию сети, представленную в данном документе.

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

Дополнительная информация представлена в разделе "Дополнительные сведения" данного документа.

Используемые компоненты

Сведения в этом документе основываются на маршрутизаторах Cisco серии 2500 на Cisco Выпуск ПО IOS� 12.2 (27).

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В данном разделе содержится информация о настройке функций, описанных в этом документе.

Примечание: Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты) для обнаружения дополнительных сведений о командах тем этим документом использование.

Схема сети

В настоящем документе используется следующая схема сети.

http://www.cisco.com/c/dam/en/us/support/docs/ip/network-address-translation-nat/13773-2a.gif

При выполнении команды ping, источником которой является интерфейс Loopback1 маршрутизатора 2514W, а пунктом назначения - интерфейс Loopback0 маршрутизатора 2501E, происходит следующее:

На внешнем интерфейсе (S1) маршрутизатора 2514X пакет проверки доступности адресата отображается вместе с адресом источника (SA) 172.16.89.32 и адресом назначения (DA) 171.68.1.1. NAT транслирует SA на внешний локальный адрес 171.68.16.5 (в соответствии с настройками команды ip nat outside source static , заданными на маршрутизаторе 2514X). Затем маршрутизатор 2514X проверяет свою таблицу маршрутизации для маршрута к 171.68.1.1. Если маршрут не существует, маршрутизатор 2514X сбрасывает пакет. В этом случае маршрутизатор 2514X устанавливает путь к 171.68.1.1 через статический маршрут к 171.68.1.0. Маршрутизатор направляет пакет к месту назначения. Маршрутизатор 2501E видит пакет на своем входном интерфейсе (E0) с SA 171.68.16.5 и DA 171.68.1.1. Отвечает отправлением ответа эхо протокола управляющих сообщений в сети Internet (ICMP) на адрес 171.68.16.5. Если маршрута нет, пакет отбрасывается. Однако в этом случае присутствует маршрут (по умолчанию). Следовательно, маршрутизатор отправляет пакет ответа на маршрутизатор 2514X через SA 171.68.1.1 и DA 171.68.16.5. Маршрутизатор 2514x видит пакет и проверяет наличие маршрута к адресу 171.68.16.5. Если маршрутов не найдено, он отвечает сообщением ICMP о недостижимости. В этом случае используется маршрут 171.68.16.5 (поскольку присутствует статический маршрут). Следовательно, он отправляет пакет обратно на адрес 172.16.89.32 и перенаправляет его на внешний интерфейс (S1).

Конфигурации

Эти конфигурации используются в данном документе:

Маршрутизатор 2514W
hostname 2514W 
! 


!--- Output suppressed.

interface Loopback1 
 ip address 172.16.89.32 255.255.255.0 
! 
interface Ethernet1 
 no ip address 
 no ip mroute-cache 
! 
interface Serial0 
 ip address 172.16.191.254 255.255.255.252 
 no ip mroute-cache 
! 

!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 172.16.191.253 

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

Маршрутизатор 2514X
hostname 2514X 
! 


!--- Output suppressed.

ip nat outside source static 172.16.89.32 171.68.16.5 

!--- Outside local address.

! 


!--- Output suppressed.

interface Ethernet1 
 ip address 171.68.192.202 255.255.255.0 
 ip nat inside 

!--- Defines Ethernet 1 as a NAT inside interface.

 no ip mroute-cache 
 no ip route-cache 
! 
interface Serial1 
 ip address 172.16.191.253 255.255.255.252 
 no ip route-cache 
 ip nat outside 

!--- Defines Serial 1 as a NAT outside interface.

 clockrate 2000000 



! 


!--- Output suppressed.

ip classless  
ip route 171.68.1.0 255.255.255.0 171.68.192.201 
ip route 171.68.16.0 255.255.255.0 172.16.191.254 

!--- Static routes for reaching the loopback interfaces


!--- on 2514E and 2514W.

!


!--- Output suppressed.

Маршрутизатор 2501e
hostname rp-2501E 
! 


!--- Output suppressed.

interface Loopback0 
 ip address 171.68.1.1 255.255.255.0 
! 
interface Ethernet0 
 ip address 171.68.192.201 255.255.255.0 
! 


!--- Output suppressed.

ip classless 
ip route 0.0.0.0 0.0.0.0 171.68.192.202 

!--- Default route to forward packets to 2514X.

!


!--- Output suppressed.

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Чтобы проверить записи трансляции, используйте команду show ip nat translations, как показано в выходных данных.

2514X#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- ---                ---                171.68.16.5        172.16.89.32
2514X#

Устранение неполадок

В данном примере использовался режим отладки NAT и IP-пакетов для демонстрации процесса NAT.

Примечание: Поскольку команды отладки генерируют значительный объем выходных данных, используйте их только, когда трафик на IP - сети низок так, чтобы на другое действие в системе не оказывали негативное влияние.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Эти выходные данные являются результатом выполнения команд debug ip packet и debug ip nat одновременно на маршрутизаторе 2514X при прозванивании от адреса интерфейса маршрутизатора 2514W loopback1 (172.16.89.32) к адресу интерфейса маршрутизатора 2501E loopback0 (171.68.1.1)

Эти выходные данные показывают первый пакет, поступающий во внешний интерфейс маршрутизатора 2514X. Исходный адрес 172.16.89.32 преобразуется в 171.68.16.5. ICMP-пакет пересылается к точке назначения через интерфейс Ethernet1.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [171]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0

В приведенных выходных данных можно увидеть пакет с адресом источника 171.68.1.1 и адресом назначения 171.68.16.5, который транслируется в 172.16.89.32. Итоговый пакет ICMP переправляется на интерфейс Serial1.

5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [171]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

Обмен пакетами ICMP продолжается. Процесс NAT для следующих выходных данных отладки аналогичен описанному выше.

5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [172]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [172]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [173]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [173]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [174]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [174]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->171.68.16.5, d=171.68.1.1 [175]
5d17h: IP: tableid=0, s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), routed
via RIB
5d17h: IP: s=171.68.16.5 (Serial0), d=171.68.1.1 (Ethernet0), g=171.68.192.201,
len 100, forward
5d17h:     ICMP type=8, code=0
5d17h: IP: tableid=0, s=171.68.1.1 (Ethernet0), d=171.68.16.5 (Serial0), routed
via RIB
5d17h: NAT: s=171.68.1.1, d=171.68.16.5->172.16.89.32 [175]
5d17h: IP: s=171.68.1.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
 len 100, forward
5d17h:     ICMP type=0, code=0

Сводка

Во-первых, когда пакет поступает из внешней сети во внутреннюю, сначала происходит трансляция, а потом для определения места назначения проверяется таблица маршрутизации. Когда пакет поступает из внутренней сети во внешнюю, сначала для определения места назначения проверяется таблица маршрутизации, а потом происходит трансляция. Дополнительная информация содержится в документе "Порядок работы NAT".

Необходимо обратить внимание на то, какая часть IP-пакета транслируется при использовании каждой из приведенных выше команд. Узнать это можно из следующей таблицы:

Команда Действие
команда ip nat outside source static
  • Транслирует источник IP-пакетов, перемещающихся снаружи внутрь.
  • Преобразовывает назначение пакетов IP, которые перемещаются внутри во внешнюю сторону.
ip nat inside source static
  • Преобразовывает источник пакетов IP, которые перемещаются внутри во внешнюю сторону.
  • Транслирует конечную точку IP-пакетов, перемещающихся снаружи внутрь.

Из этих указаний понятно, что существует несколько способов трансляции пакета. В зависимости от конкретных требований следует задать способ определения интерфейсов NAT (внутренний или внешний), а также маршруты, которые должна содержать таблица маршрутизации до или после трансляции. Помните, что часть преобразуемого пакета зависит от направления перемещения пакета и от настройки NAT.


Дополнительные сведения


Document ID: 13773